Da asporto chiave
- I codici QR sono pericolosi quanto i link dannosi nelle e-mail.
- Questi codici contengono collegamenti che possono aprire app, avviare telefonate, condividere la tua posizione e altro ancora.
- Proteggiti evitando i codici QR e utilizzando invece un link.
Invece di raccogliere a mani nude il sudicio menu di un ristorante, ci siamo abituati all'igiene dei codici QR. Ma quelli possono essere un po' più sporchi e molto più pericolosi di quanto potresti pensare.
Nel 2015, un amante del ketchup tedesco ha scansionato il codice QR sulla bottiglia di Heinz ed è stato inviato direttamente a un sito porno. Potrebbe essere imbarazzante, ma ci sono conseguenze peggiori per la scansione cieca dei codici QR. Secondo il servizio di gestione delle password 1Password, i codici QR possono attivare telefonate, tradire la tua posizione, avviare una telefonata che rivela il tuo ID chiamante e altro ancora. Quindi cosa possiamo fare al riguardo?
"Siamo diventati tutti condizionati a scansionare un codice QR per sfogliare un menu o persino pagare le nostre bollette, e i criminali informatici ora stanno capitalizzando su questo attraverso l'uso di codici QR dannosi", Craig Lurey, esperto di sicurezza informatica e co -fondatore di Keeper Security, ha detto a Lifewire via e-mail. "Quindi quello che potrebbe sembrare un codice per pagare un parchimetro e il sito sembrerà incredibilmente legittimo, stai effettivamente inserendo i dettagli della tua carta di credito direttamente nel database di un ladro."
Collegamenti errati
Un codice QR è solo una scorciatoia per un collegamento che può essere letto dalla fotocamera del telefono e quindi decodificato. Siamo stati tutti addestrati a non fare mai clic su un collegamento in un'e-mail, anche se sembra legittimo. Ma i link ai codici QR sono altrettanto pericolosi e hanno il problema in più che non puoi vedere dove portano finché non li scannerizzi.
Quando pensiamo ai link, pensiamo agli URL che ci portano ai siti web. E nel caso dell'hack porno di Heinz ketchup, questo era il problema: Heinz ha lasciato scadere il nome di dominio e qualcun altro lo ha acquistato, quindi lo ha caricato con immagini sporche. Gli URL sono pericolosi, come dimostra la truffa di phishing dei parchimetri di Lurey, ma i link possono fare molto di più.
"Uno dei maggiori problemi è che, a differenza dei siti Web, i collegamenti QR agli URL abbreviati raramente identificano il nome dell'azienda", ha detto a Lifewire via e-mail Monti Knode, ex comandante del 67th Cyberspace Operations Group dell'USAF. "Una persona fa clic su di esso e presume che fornirà un menu del ristorante, un'agenda di una conferenza o persino un collegamento di beneficenza, e potrebbe benissimo essere un sito contraffatto o un collegamento dannoso che scarica il codice sul tuo computer o dispositivo mobile."
Sui nostri telefoni, i collegamenti possono attivare le app. Ad esempio, nell'app mappe si apre un collegamento a Google Maps. I link possono anche attivare telefonate, aggiungere contatti alla tua rubrica (e quindi fare in modo che chiamate ed e-mail future sembrino legittime), possono condividere la tua posizione e altro ancora.
Una truffa ingegnosa consiste nel modificare un codice QR legittimo esistente e utilizzarlo per reindirizzare le vittime. L'inserzionista Robert Barrows ha condiviso una storia sul suo marcatore video avanzato.
"Mi sono reso conto che potrebbero esserci diversi problemi con i codici QR sulle lapidi", ha detto Barrows a Lifewire via e-mail. "Cosa succede se l'inchiostro sul codice QR decade nel tempo? Finirai per collegarti a un sito Web completamente diverso? Cosa succede se qualcuno cambia il codice QR con un pennarello?"
La stessa cosa potrebbe accadere con poster pubblicitari, menu o qualsiasi codice QR.
Proteggiti
Il primo passo per proteggersi è essere consapevoli. Non scansionare mai un codice QR a meno che tu non sia certo che sia sicuro. Il che significa davvero, non scansionare mai un codice QR.
Ma se devi eseguire la scansione per fare il check-in in un ristorante o bar o visualizzare un menu, assicurati prima di tutto che il codice non sia stato manomesso o coperto da un adesivo di un altro codice QR. Un consiglio è disattivare la scansione automatica del codice QR nelle impostazioni del telefono, se possibile. Ma davvero, la migliore protezione è stare attenti.
"Quando possibile, proprio come con potenziali collegamenti di phishing, i consigli sono di andare direttamente al sito Web del provider per recuperare le informazioni che stai cercando", ha detto a Lifewire via e-mail Dave Cundiff, CISO della società di sicurezza informatica Cyvatar. "Nella maggior parte dei casi, le informazioni sono ospitate sul Web e accessibili direttamente sul sito Web del provider da qualche parte."
Se il link non è disponibile, non scansionarlo. È molto meno conveniente ma non così scomodo come parlare giorni o settimane per affrontare le ricadute di un collegamento dannoso.